https://www.opennet.ru/openforum/vsluhforumID1/82395.html Добрый вечер. Перейду сразу к своей проблеме что не получаетс сделать:<br><br>1. пытаюсь по ssh выйти с компа 192.168.13.2 на комп 172.16.13.2<br>2. на сервере SuSe 2 сетевые карты eth1 - 172.16.13.1 и eth0 - 192.168.13.1<br><br>Настройки следующие:<br><br>iptables -P INPUT DROP<br>iptables -P FORWARD DROP<br>iptables -P OUTPUT ACCEPT<br><br>далее разрешаю входящее 2-м компам разных сетей<br><br>iptables -A INPUT -s 172.16.13.2 -j ACCEPT<br>iptables -A INPUT -s 192.168.13.2 -j ACCEPT<br><br>далее сторою NAT<br><br>iptables -t nat -A POSTROUTING -s 192.168.13.2 -d 172.16.13.2 -p tcp -j MASQUERADE<br><br>шлюз пингуется с любой машины. но вот машины из разных сетей не пингуются и по ssh друг на друга не заходят :( #sshd поднят<br><br>Подскажите пожлауйста что сделал не так ? Есть ли взаимосвязь между POSTROUTING и PREROUTING ? Может надо SNAT а не MASQUERADE, если да то как ?<br>Все перепробовал ничего не получается...<br> https://www.opennet.ru/openforum/vsluhforumID1/82395.html#13 Wed, 15 Oct 2008 13:15:19 GMT Отбой тревоги. Спасибо ребят вроде все работает :) Я просто тспдампом снифил в promiscious режиме, наверно из-за этого были мысли пошлые о плохой работе гейта :)<br><br>http://trash.evermore.ru/f/3632_4b0.jpg<br> https://www.opennet.ru/openforum/vsluhforumID1/82395.html#12 Wed, 15 Oct 2008 11:55:53 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;iptables -t nat -A POSTROUTING -s 172.16.13.2/32 -d 192.168.13.2/32 -j SNAT --to-source <br>&gt;&gt;&gt;192.168.13.1 <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Вроде должно работать... <br>&gt;&gt;<br>&gt;&gt;От такая проблемкас :( <br>&gt;&gt;<br>&gt;&gt;http://trash.evermore.ru/f/3625_e1f.jpg <br>&gt;<br>&gt;в iptables -t nat -A POSTROUTING протокол указывали? <br><br>Нет. Я так думаю если не указать то по умолчанию для всех протоколов правило работает ?<br> https://www.opennet.ru/openforum/vsluhforumID1/82395.html#11 Wed, 15 Oct 2008 10:57:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;iptables -t nat -A POSTROUTING -s 192.168.13.2/32 -d 172.16.13.2/32 -j SNAT --to-source <br>&gt;&gt;172.16.13.1 <br>&gt;&gt;iptables -t nat -A POSTROUTING -s 172.16.13.2/32 -d 192.168.13.2/32 -j SNAT --to-source <br>&gt;&gt;192.168.13.1 <br>&gt;&gt;<br>&gt;&gt;Вроде должно работать... <br>&gt;<br>&gt;От такая проблемкас :( <br>&gt;<br>&gt;http://trash.evermore.ru/f/3625_e1f.jpg <br><br>в iptables -t nat -A POSTROUTING протокол указывали?<br> https://www.opennet.ru/openforum/vsluhforumID1/82395.html#10 Wed, 15 Oct 2008 09:04:40 GMT &gt;[оверквотинг удален]<br>&gt;Попробуй так <br>&gt;<br>&gt;iptables -A FORWARD -s 192.168.13.2/32 -d 172.16.13.2/32 -j ACCEPT <br>&gt;iptables -A FORWARD -s 172.16.13.2/32 -d 192.168.13.2/32 -j ACCEPT <br>&gt;iptables -t nat -A POSTROUTING -s 192.168.13.2/32 -d 172.16.13.2/32 -j SNAT --to-source <br>&gt;172.16.13.1 <br>&gt;iptables -t nat -A POSTROUTING -s 172.16.13.2/32 -d 192.168.13.2/32 -j SNAT --to-source <br>&gt;192.168.13.1 <br>&gt;<br>&gt;Вроде должно работать... <br><br>От такая проблемкас :(<br><br>http://trash.evermore.ru/f/3625_e1f.jpg<br><br> https://www.opennet.ru/openforum/vsluhforumID1/82395.html#9 Wed, 15 Oct 2008 08:47:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Сделал Вашим методом, вроде работает, пакеты через NAT ходят но есть и <br>&gt;&gt;непонятности. <br>&gt;&gt;<br>&gt;&gt;На скрине видно что запросы идут как от шлюза так и от <br>&gt;&gt;клиента напрямую. Сомнительное подчеркнул красным: <br>&gt;&gt;<br>&gt;&gt;http://trash.evermore.ru/f/3625_e1f.jpg <br>&gt;<br>&gt;на какой машине и на каком интерфейсе снимался? <br><br>На машине А. Интерфейс единственный eth1 - 172.16.13.2<br><br> https://www.opennet.ru/openforum/vsluhforumID1/82395.html#8 Wed, 15 Oct 2008 08:16:36 GMT &gt;[оверквотинг удален]<br>&gt;&gt;и читать <br>&gt;&gt;http://www.opennet.ru/docs/RUS/iptables/ <br>&gt;<br>&gt;Сделал Вашим методом, вроде работает, пакеты через NAT ходят но есть и <br>&gt;непонятности. <br>&gt;<br>&gt;На скрине видно что запросы идут как от шлюза так и от <br>&gt;клиента напрямую. Сомнительное подчеркнул красным: <br>&gt;<br>&gt;http://trash.evermore.ru/f/3625_e1f.jpg <br><br>на какой машине и на каком интерфейсе снимался?<br> https://www.opennet.ru/openforum/vsluhforumID1/82395.html#7 Wed, 15 Oct 2008 07:58:25 GMT &gt;iptables -A FORWARD -s 172.16.13.2 -j ACCEPT <br>&gt;iptables -A FORWARD -s 192.168.13.2 -j ACCEPT <br>&gt;<br>&gt;если не хотите обезличивать пакеты, пришедшие из другой подсети , то SNAT <br>&gt;не нужен, а если хотите то <br>&gt;iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.13.1 <br>&gt;iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.16.13.1 <br>&gt;<br>&gt;и читать <br>&gt;http://www.opennet.ru/docs/RUS/iptables/ <br><br>Сделал Вашим методом, вроде работает, пакеты через NAT ходят но есть и непонятности.<br><br>На скрине видно что запросы идут как от шлюза так и от клиента напрямую. Сомнительное подчеркнул красным:<br><br>http://trash.evermore.ru/f/3625_e1f.jpg<br><br> https://www.opennet.ru/openforum/vsluhforumID1/82395.html#6 Wed, 15 Oct 2008 07:48:21 GMT &gt;[оверквотинг удален]<br>&gt;сделать? <br>&gt;<br>&gt;Параметры: <br>&gt;ip_forward=1 <br>&gt;<br>&gt;Настройки iptables пустые. по умолчанию на filter сделано <br>&gt;<br>&gt;iptables -P INPUT DROP <br>&gt;iptables -P FORWARD DROP <br>&gt;iptables -P OUTPUT DROP <br><br>Попробуй так<br><br>iptables -A FORWARD -s 192.168.13.2/32 -d 172.16.13.2/32 -j ACCEPT<br>iptables -A FORWARD -s 172.16.13.2/32 -d 192.168.13.2/32 -j ACCEPT<br>iptables -t nat -A POSTROUTING -s 192.168.13.2/32 -d 172.16.13.2/32 -j SNAT --to-source 172.16.13.1<br>iptables -t nat -A POSTROUTING -s 172.16.13.2/32 -d 192.168.13.2/32 -j SNAT --to-source 192.168.13.1<br><br>Вроде должно работать...<br> https://www.opennet.ru/openforum/vsluhforumID1/82395.html#5 Wed, 15 Oct 2008 07:11:28 GMT &gt;Поставлю вопрос по другому: <br>&gt;<br>&gt;Компьютер А - 172.16.13.2<br><br>шлюзом прописать 172.16.13.1 <br>&gt;Интерфейс eth 1 маршрутизатора в сторону А - 172.16.13.1 <br>&gt;Интерфейс eth 0 маршрутизатора в сторону Б - 192.168.13.1 <br>&gt;Компьютер Б - 192.168.13.2 <br><br>шлюзом прописать 192.168.13.1<br>&gt;<br>&gt;Необъходимо: <br>&gt;<br>&gt;Организовать SNAT между этими сетями, чтобы можно было получить доступ с компьютера <br>&gt;Б к компьютеру А через NAT а не напрямую. Как это <br>&gt;сделать? <br>&gt;<br><br>на маршрутизаторе<br>&gt;Параметры: <br>&gt;ip_forward=1 <br>&gt;<br>&gt;Настройки iptables пустые. по умолчанию на filter сделано <br>&gt;<br>&gt;iptables -P INPUT DROP <br>&gt;iptables -P FORWARD DROP <br>&gt;iptables -P OUTPUT DROP <br><br>iptables -A FORWARD -s 172.16.13.2 -j ACCEPT<br>iptables -A FORWARD -s 192.168.13.2 -j ACCEPT<br><br>если не хотите обезличивать пакеты, пришедшие из другой подсети , то SNAT не нужен, а если хотите то<br>iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.13.1<br>iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.16.13.1<br><br>и читать <br>http://www.openn